Coraz bardziej powszechne są dostępy do konta przez i-net
Jak to wygląda pod względem bezpieczeństwa dla tzw podpisów
elektronicznych np oferowany obecnie system SBE w InvestBanku
Nie jest to jakikolwiek token lub lista haseł jakie są oferowane przez inne
banki
( tokena używam od roku i jest OK )

Jaka jest szansa na złamanie klucza elektronicznego ?
Co sądzą inni na ten temat ?

--
Piotr W
t...@p...onet.pl

do góry

On Mon, 8 Jul 2002 06:56:20 +0200, "Piotr W" <t...@p...onet.pl>
wrote:

>Coraz bardziej powszechne są dostępy do konta przez i-net
>Jak to wygląda pod względem bezpieczeństwa dla tzw podpisów
>elektronicznych np oferowany obecnie system SBE w InvestBanku
>Nie jest to jakikolwiek token lub lista haseł jakie są oferowane przez inne
>banki
>( tokena używam od roku i jest OK )

W wypadki IB to warto zwrocic uwage, ze mimo, ze w inecie jest tzw
podpis elektroniczny to przez WAP te same operacje mozna zrobic
wylacznie na haslo,

>Jaka jest szansa na złamanie klucza elektronicznego ?
>Co sądzą inni na ten temat ?

Zastanawialbym sie raczej nie nad problemem zlamania klucza ale nad
mozliwoscia przechwycenia pliku klucza (ktory jest przciez zwyklym
plikiem zapisanym na dyskietce / dysku) i hasla do niego przez
jakiegos trojana.

--
Wojtek Frabinski ICQ 50443653
w...@a...net.pl
Moja strona Meat Loafa http://www.meatloaf.3a.pl/
galeria kart bankowych http://www.karty.3a.pl/

do góry

O kurde...
To jest taka możliwość???

TZN że ktos wyslalby na mojego kompa jakiegos trojana i wtedy jak ja bym się
logował on by widział moije hasło????

Nie rozumiem, bo przeciez haslo jest szyfrowane 128 bnitowym kluczem, i do
tego jest szyfrowane z pewnym pseudolosowym rozrzutem

przynajmniej tak mi sie wydawalo...
A jest inaczej????




Użytkownik "Wojtek Frabinski" <w...@a...net.pl> napisał w wiadomości
news:po8iiu4tq3tb6jlj4ftg8vnqnlpu6vtafj@4ax.com...
> On Mon, 8 Jul 2002 06:56:20 +0200, "Piotr W" <t...@p...onet.pl>
> wrote:
>
> >Coraz bardziej powszechne są dostępy do konta przez i-net
> >Jak to wygląda pod względem bezpieczeństwa dla tzw podpisów
> >elektronicznych np oferowany obecnie system SBE w InvestBanku
> >Nie jest to jakikolwiek token lub lista haseł jakie są oferowane przez
inne
> >banki
> >( tokena używam od roku i jest OK )
>
> W wypadki IB to warto zwrocic uwage, ze mimo, ze w inecie jest tzw
> podpis elektroniczny to przez WAP te same operacje mozna zrobic
> wylacznie na haslo,
>
> >Jaka jest szansa na złamanie klucza elektronicznego ?
> >Co sądzą inni na ten temat ?
>
> Zastanawialbym sie raczej nie nad problemem zlamania klucza ale nad
> mozliwoscia przechwycenia pliku klucza (ktory jest przciez zwyklym
> plikiem zapisanym na dyskietce / dysku) i hasla do niego przez
> jakiegos trojana.
>
> --
> Wojtek Frabinski ICQ 50443653
> w...@a...net.pl
> Moja strona Meat Loafa http://www.meatloaf.3a.pl/
> galeria kart bankowych http://www.karty.3a.pl/

do góry

Użytkownik Richard <R...@p...onet.pl> w wiadomości do grup dyskusyjnych
napisał:agbg6q$2n6$...@n...tpi.pl...
> O kurde...
> To jest taka możliwość???
>
> TZN że ktos wyslalby na mojego kompa jakiegos trojana i wtedy jak ja bym się
> logował on by widział moije hasło????
[...]

Jasne. System nie szyfruje faktu naciśnięcia takiego a nie innego
klawisza. W Windows można to spokojnie przechwycić, zapisywać, filtrować
itp.

Paweł Kierski
p...@m...com.pl

do góry

Pawel Kierski wrote:
>
> Użytkownik Richard <R...@p...onet.pl> w wiadomości do grup dyskusyjnych
napisał:agbg6q$2n6$...@n...tpi.pl...
> > O kurde...
> > To jest taka możliwość???
> >
> > TZN że ktos wyslalby na mojego kompa jakiegos trojana i wtedy jak ja bym się
> > logował on by widział moije hasło????
> [...]
>
> Jasne. System nie szyfruje faktu naciśnięcia takiego a nie innego
> klawisza. W Windows można to spokojnie przechwycić, zapisywać, filtrować
> itp.

A czy przechwycenie, odszyfrowanie pakietow i wyodrebnienie hasla
jest niemozliwe? Nie mysle oczywiscie o takiej operacji przeprowadzanej
w "czasie rzeczywistym", chodzi mi o bezpieczenstwo bankow ktore nie
stosuja tanow lub tokenow.

do góry

Użytkownik Marcin F <m...@i...pl> w wiadomości do grup dyskusyjnych
napisał:3...@i...pl...
> Pawel Kierski wrote:
[...]
> > Jasne. System nie szyfruje faktu naciśnięcia takiego a nie innego
> > klawisza. W Windows można to spokojnie przechwycić, zapisywać, filtrować
> > itp.
>
> A czy przechwycenie, odszyfrowanie pakietow i wyodrebnienie hasla
> jest niemozliwe? Nie mysle oczywiscie o takiej operacji przeprowadzanej
> w "czasie rzeczywistym", chodzi mi o bezpieczenstwo bankow ktore nie
> stosuja tanow lub tokenow.

Przechwycenie nie stanowi zbytnich problemów w Internecie. No,
ewentualnie potrzeba trochę włamań do providerów 8-) Obecnie się
pewnie porawiło, ale kilka lat temu było fatalnie...
Znalezienie hasła na podstawie jednorazowej transakcji - pewnie
też. Im dłuższe i mniej "słownikowe" hasło, tym trudniej. Trudności
rosną wykładniczo, przy pewnym poziomie skomplikowania inne metody
(gazrurka, bejsbol itp. jako argument przekonujący właściciela,
żeby jednak powiedział 8-), podstawienie komuś trojana logującego
naciśnięcia klawisza) są tańsze i szybsze.

Paweł Kierski
p...@m...com.pl

do góry

Użytkownik Pawel Kierski <p...@m...com.pl> w wiadomości do grup
dyskusyjnych napisał:agc23t$8ka$...@n...polbox.pl...
> > > Jasne. System nie szyfruje faktu naciśnięcia takiego a nie innego
> > > klawisza. W Windows można to spokojnie przechwycić, zapisywać,
filtrować
> Przechwycenie nie stanowi zbytnich problemów w Internecie. No,
> Znalezienie hasła na podstawie jednorazowej transakcji - pewnie
> też. Im dłuższe i mniej "słownikowe" hasło, tym trudniej. Trudności
> rosną wykładniczo, przy pewnym poziomie skomplikowania inne metody
> (gazrurka, bejsbol itp. jako argument przekonujący właściciela,
> żeby jednak powiedział 8-), podstawienie komuś trojana logującego
> naciśnięcia klawisza) są tańsze i szybsze.
> Paweł Kierski

No dobrze, dobrze . . .
To jak wygląda tak głośny ostatnio podpis elektroniczny ?
Jeżeli dobrze trybie to przecież to to samo ?

Jeszcze jedno :
mamy tu do czynienia z zahasłowanym kluczem elektronicznym
trojan przechwyci hasło do klucza a co z samym kluczem ?
Znajduje się on tylko na "moim" nośniku , który był wysyłany do mnie tylko 1
raz.
Przecież w trakcie podpisywania elektronicznego nie jest wysyłany cały klucz
a jedynie jego sciśle określony ciąg przez niego generowany
na dany moment , połączenie . . . etc.

Może się mylę ?

do góry

Użytkownik "Piotr W" <t...@p...onet.pl> napisał w wiadomości
news:agc33b$n5$1@news.tpi.pl...
> No dobrze, dobrze . . .
> To jak wygląda tak głośny ostatnio podpis elektroniczny ?
> Jeżeli dobrze trybie to przecież to to samo ?

Hasło nie wiąże w sposób jednoznaczny wiadomości z nadawcą, a podpis (także
elektroniczny) ma takie zadanie spełniać.
Hasło ktoś może przechwycić i wykorzystać do podpisania innej wiadomości,
niż zamierzał właściciel hasła. To samo może się stać, gdy kotoś przechwyci
nośnik z kluczami do podpisu i hasło do tego nośnika, ale to już mniej
prawdobne.
Myślę, że dopuki klucze do podpisu są chronione, to podpis elektroniczny
jest bezpieczny, zakładając że nie będziemy mieli do czynienia z
przeciwnikiem o nieograniczonych zasobach :-)).

Pozdrawiam

do góry

On Mon, 8 Jul 2002 09:50:14 +0200, "Richard"
<R...@p...onet.pl> wrote:

>O kurde...
>To jest taka możliwość???
>
>TZN że ktos wyslalby na mojego kompa jakiegos trojana i wtedy jak ja bym się
>logował on by widział moije hasło????

tak.

>Nie rozumiem, bo przeciez haslo jest szyfrowane 128 bnitowym kluczem, i do
>tego jest szyfrowane z pewnym pseudolosowym rozrzutem

Haslo jest szyfrowane ale na drodze do banku. A nie na drodze od
klawiatury do przegladarki. Tutaj mozna przechwycic je stosunkowo
latwo.
I dlatego rozwiazania oparte wylacznie na statycznym hasle sa IMO nie
do przyjecia. Natomiast jesli chodzi o korzystanie z klucza zapisanego
w zwyklym pliku to sprawa jest nieco bardziej skomplkowana.
Teoretycznie wydaje sie, ze nie powinno byc wiekszego problemu, zeby
trojan oprocz przechwytywania klawiatury (w tym rowniez hasla do
klucza) zgral i przeslalal dalej caly plik klucza. O takim programie
jeszcze nie slyszalem ale nie znaczy to ze go nie ma :-).
Dopiero podpis elektorniczny na pozadnie zrealizowanej karcie chipowej
powinien byc odporny na take sztuczki (czyli np podpis w rozumienu
ustawy o podpisie elektronicznym).
Pewnym rozwiazaniem jest tez dodatkowy certyfikat zainstalowany w
przegladarca - jak w Fortisie.

--
Wojtek Frabinski ICQ 50443653
w...@a...net.pl
Moja strona Meat Loafa http://www.meatloaf.3a.pl/
galeria kart bankowych http://www.karty.3a.pl/

do góry

Użytkownik Wojtek Frabinski <w...@a...net.pl> w wiadomości do grup
dyskusyjnych napisał:h...@4...com..
.
> Haslo jest szyfrowane ale na drodze do banku. A nie na drodze od
> klawiatury do przegladarki. Tutaj mozna przechwycic je stosunkowo
> latwo.

tutaj zgoda

> I dlatego rozwiazania oparte wylacznie na statycznym hasle sa IMO nie
> do przyjecia. Natomiast jesli chodzi o korzystanie z klucza zapisanego
> w zwyklym pliku to sprawa jest nieco bardziej skomplkowana.
> Teoretycznie wydaje sie, ze nie powinno byc wiekszego problemu, zeby
> trojan oprocz przechwytywania klawiatury (w tym rowniez hasla do
> klucza) zgral i przeslalal dalej caly plik klucza. O takim programie
> jeszcze nie slyszalem ale nie znaczy to ze go nie ma :-).

tak też zgoda

> Dopiero podpis elektorniczny na pozadnie zrealizowanej karcie chipowej
> powinien byc odporny na take sztuczki (czyli np podpis w rozumienu
> ustawy o podpisie elektronicznym).

ale tego w bankach ja bynajmniej nie słyszałem

> Pewnym rozwiazaniem jest tez dodatkowy certyfikat zainstalowany w
> przegladarca - jak w Fortisie.
> Wojtek Frabinski ICQ 50443653

ale tutaj, czyli w IB jest instalowany "jakiś" certyfikat IB
+ klucz w pliku ( zahasłowany )
piszę jakiś bo nie do końca kumam

Jak tu się mają zabezpieczenia ?

--
Piotr W
t...@p...onet.pl

do góry